Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 116, views: 21.636 •
Submitter: Krisp

Stichting Kennisnet, die scholen ondersteunt op it-gebied, heeft geconstateerd dat veel schoolcomputers gemakkelijk te kraken zijn. Leerlingen kunnen bijvoorbeeld toegang krijgen tot de administratie en hun eigen cijfers bijwerken.

In het kader van het onderzoek, dat plaatsvond tussen het najaar van 2006 en het voorjaar van 2007, werd bij veertien scholen uitgeprobeerd of het mogelijk was toegang te krijgen tot vertrouwelijke informatie, zowel van binnenuit via het schoolnetwerk als van buitenaf via internet. Geen van de scholen bleek optimaal beveiligd. Bij vijf zou het zelfs hoogstwaarschijnlijk mogelijk zijn toegang te krijgen tot het administratieve netwerk, zij het niet via internet. De onderzoekers hebben overigens niet daadwerkelijk ingebroken, omdat zij de gevolgen van de test beperkt wilden houden.

Op de meeste scholen zijn de beheerders zich er zeer goed van bewust dat leerlingen nogal eens uitproberen waar ze zoal toegang toe kunnen krijgen. Vaak is dan ook het leerlingennetwerk fysiek gescheiden van het administratieve netwerk. De onderzoekers constateerden echter dat door administratieve toepassingen die via internet te benaderen zijn, deze beveiliging goeddeels weer ongedaan wordt gemaakt. Zwakke wachtwoorden, waar ook naar werd gezocht, werden nauwelijks gevonden. Wel was veel hardware, zoals printers en netwerkapparatuur, nog voorzien van de fabriekswachtwoorden.

De conclusie van Kennisnet is dat er aan de computerbeveiling op scholen nog heel wat te verbeteren valt. Ook op pogingen tot inbraak zou men wel wat attenter mogen zijn. Bij navraag bleken de hackpogingen van de onderzoekers vrijwel nooit opgemerkt te zijn. Een leerling die meent via een hack de eindexamenopgaven te kunnen bemachtigen zal echter van een koude kermis thuiskomen: die staan niet op een computer maar liggen in een verzegelde enveloppe in de kluis.

Hacker in actie

Reacties (116)

Reactiefilter:-1116099+111+23+31
1 2 3 ... 6
Zowiezo kom je al een heel end als je een bepaalde range aan computers alleen toelaat op het administratieve gedeelte van het netwerk. Vroeger kregen wij ook les in het omzeilen van wachtwoorden dmv raden, tips, hints, en goed zoeken. Daar waren leuke programma's voor geschreven door onze leraar zelf.

Ik scheld iemand dan om eerlijk te zijn ook verrot als iemand mij om een manier gaat zitten vragen hoe die het netwerk omzeilen kan om zijn cijfers aan te passen.
Hier is niks nieuws aan. En voordat de argumenten langs gaan komen dat Kennisnet voor een groot gedeelte op Windows draait; ongeveer 10 jaar geleden was het ook al een eitje om met een bruteforce-programma (naam even kwijt) alle passwords van de sector Informatica en Informatiekunde aan de HHS binnen te hengelen.

Probleem was nog niet eens toegang krijgen tot de files waarin de passwords waren opgeslagen als wel dat de UltraSparcs nogal lang nodig hadden om dit om te zetten naar leesbare tekst; CPU-power was toen nog redelijk dun gezaaid en vanwege de geldende policies omtrent home-dirs was je eigenlijk verplicht om met 3 man in te loggen, home-dirs te sharen en e.e.a. realtime te compileren/ontleden.
Tja, je kon vrij eenvoudig de shadow file pakken op het HHS en inderdaad brute forcen. En verder moest je wel weten dat de Sun Ultra10's sneller waren en voldoende /tmp hadden voor al je speelgoedjes in vergelijking met de Classic Sparcs die ze hadden. Tegenwoordig is dit nog steeds een probleem en kan je beter een oplossing gebruiken die je inlog gegevens elders ophaalt, zodat jezelf niet dit soort files als normale gebruiker kan lezen en misbruiken.
Bedoel je niet de /etc/passwd file aangezien vroeger nog niet met shadow werd gewerkt en deze in de huidige tijden sowieso niet world readable is? Kon je die shadow wel pakken dan was het wel heel erg gesteld met de security :X
Hebben wij vroeger ook eens geprobeerd in het middelbaar. We zijn toen beland bij de inlogscripts die we zonder problemen zomaar konden wijzigen.
Het probleem ligt meestal bij de persoon die er verantwoordelijk voor is. Dat zijn meestal leerkrachten (en sorry moest het beledigend zijn) maar meestal niet de beste in het gebied (meestal dan omdat het loon niet echt zo schitterend is om echte specialisten aan te nemen).
Daarbij zit een school (zeker als je met IT richtingen zit) soms met leerlingen die er meer vanaf weten dan de leerkracht en dat is het soms maar een kwestie van tijd dat hij dingen vindt zoals de inlogscripts die elke PC automatisch uitvoert bij het opstarten van een PC in het computerpark.
Dan moeten ze maar geen computer gebruiken.

Als mensen er niet mee om kunnen gaan en geen geld hebben voor een beheerder dan moeten ze er niet aan beginnen.

Natuurlijk geen optie vandaag de dag dus gewoon personeel aannemen, dan maar wat minder keus in de kantine.
De keus in de kantine verminderen zou het salaris van een goeie IT-er niet goedmaken hoor...
Het is altijd de hobby geweest op school om zoveel mogelijk te slopen in die computersystemen, want de leraren waren eikels en die systeembeheerders prutsers. Onder het mom van Bart Simpsons wijze woorden: "That'll teach you to teach me!" Wat was het leven toen toch makkelijk :)

Ondertussen lijkt het kinderachtig en onverantwoordelijk (damn you, responsibility!)

Geen computers zou ook geen oplossing zijn.
Er zou gewoon één goede oplossing moeten komen die landelijk ingezet kan worden. Uitgezocht door een slim team studenten die als afstudeerproject zich hiermee bezighouden.

Cheap, eenzijdig en effectief.
Bij ons idem, in eerste instantie kon je zelfs het netwerk binnendringen via de BIOS, later is dat weliswaar beveiligd, maar veilig was het zeker niet.
Ik had intelliAdmin gedownload (de gratis trial) en dat was al voldoende om de beheerder een plaatje van de teletubies als achtergrond te geven.

Belachelijk hoe de 'beveiliging' nu is op schoolcomputers.
Wij hadden er zo een die zijn password in zijn agenda had opgeschreven. En laat die agenda nou regelmatig open op tafel liggen. Wat heeft ie kunnen zoeken waar de fout zat dat hij niet ingelogd kon komen het ene moment en het andere moment weer wel.
En wij zaten er als onschuldige lammetjes bij en verwisselden de wachtwoorden zodra hij het lokaal uitliep.
Beveiligen is leuk maar het moet wel goed gebeuren. Dat was 20 jaar geleden niet en dat is vaak, helaas, nu nog steeds niet. Wat helpen programmatuur als de mensen zelf niet eens letten op waar ze hun wachtwoorden laten?
het gaat hier om basisscholen en VO, nog niet echt veel geld daar beschikbaar voor een goede ICT omgeving. Meestal moeten ze het doen met afgeschreven UNI/beroeps OW pc's. En is de wiskunde docent vaak de ICT-er, die het er maar bij moet doen

[Reactie gewijzigd door pstalman op 21 januari 2008 11:33]

Sommige scholen hebben blijkbaar hun school database niet in een aparte netwerk zitten! Dat is natuurlijk niet echt slim.

offtopic: Welke film is het plaatje van eigenlijk, Ik heb hem eerder gezien maar kan niet meer herinneren hoe die heet D:
(WarGames als ik me niet vergis)
Idd War Games, heb hem hier liggen op DVD.

Briljante film :)

Vooral het modem, waarbij hij daadwerkelijk nog de hoorn van de telefoon op een apparaat moet leggen, is erg cool :P

[Reactie gewijzigd door Bosmonster op 21 januari 2008 11:47]

Was toentertijd niet alleen een geweldige film, er is tegenwoordig ook nog eens een game van, en is nog beter dan je van een 60 ~ 70 MB verwacht...

Defcon
Mooi plaatje inderdaad, en heel herkenbaar. Die dikke ouwe Altair met 8" floppen, CP/M, acoustisch gekoppeld modem, en voice output.. heerlijk nostalgisch.

Een spelletje Global Themonuclear War graag.
Ik heb het nooit geweten, maar in de commentary van de film zeggen ze dat 'war-dailing' een afkorting is van Wargames dailing, dat dus die term gebaseerd is op de film...
Guh, op wikipedia zeggen ze het ook :)
Het hacken werd ook best realistisch weergegeven: hij vindt een backdoor door zich langdurig te verdiepen in de programmeur. Bij de meest films brute-forcen ze even iets in een paar seconden.
Alleen als WOPR/Joshua de lanceercodes probeert te vinden gaat het fout. De manier in de film is onmogelijk.
Lol, het zoontje van onze sysadmin heet Joshua
Bij ons hadden ze op de computers op de middelbare school een monitoring programma staan (PCAnywhere geloof ik) dat je vanaf elke pc als beheerder (zonder wachtwoord) kon gebruiken. Je kon dus vanaf elke willekeurige pc elke willekeurige andere pc 'overnemen'. Ik ben totaal een leek op computer gebied, maar dat was gewoon een kwestie van een beetje rond zoeken wat er zoal op die computers stond. Uiteindelijk is het ons wel op een mediatheek verbod voor de rest van de maand komen staan (was de laatste vrijdag van de maand :))

Maar voor heel veel zaken nemen ze gewoon niet de moeite voor om het even af te schermen, en zelfs als ze het weten dan duurt het vaak nog een hele tijd voordat er iets ondernomen wordt.
Zo is het mij gelukt (een jaar geleden) om op mn middelbare school via het internet (vrij toegankelijk voor iedereen!) een password dump te maken van alle leerlingen + leerkrachten op school. Heb het keurig gemeld bij de ICT-afdeling, die hebben er niets mee gedaan, na een week dus directie ingelicht. Er moet nog een hoop veranderen voordat het gaat zoals het zou moeten!
Ik ken dergelijke situaties... Er nix aan doen, gewoon zo laten, en als je er vervolgens na een maand ofzo een keer misbruik van maakt, om te laten zien dat het toch echt geen gigantisch gat is, dan weten ze je te vinden... |:( Dan doen ze opeens of dat he jou schuld is.
Op de uni wisten ze ons een jaar of 8 geleden zelfs te melden dat ze niets aan de ongeshadowde passwords op de studentenserver gingen doen omdat die accounts niet belangrijk genoeg waren om daar tijd in te investeren. :P

Dat was dan ook wel een beetje waar, echter het is natuurlijk niet onlogisch dat mensen dezelfde credentials gebruiken voor andere, belangrijkere, accounts.
Aangezien kennisnet de scholen ondersteunt bij hun IT verhaal, gaan ze nu hand in eigen boezem steken of is dit een poging klantjes te werven?
De scholen zijn nog altijd zelf verantwoordelijk voor hun eigen reilen en zeilen in hun eigen domein. Allerlei taken kunnen worden overgenomen en beheert door Kennisnet, maar de administratie en leerlingen bestanden zijn nog altijd lokale aangelegenheden.
En een nieuwe "software op maat" markt is aangeboord. (Zou niet zo moeten zijn natuurlijk, er is al zat beveiligings software, maar de praktijk wijst anders uit)

[Reactie gewijzigd door LessRam op 21 januari 2008 11:37]

1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneAsus

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013